A partire da AWS ConfigAWS CLI - AWS Config
put-configuration-recorderput-delivery-channelstart-configuration-recorder

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

A partire da AWS ConfigAWS CLI

Nota

Prima di eseguire la configurazione AWS Config con AWS CLI, devi creare un bucket S3, un argomento SNS e un ruolo IAM con policy allegate come prerequisiti. È quindi possibile utilizzare il AWS CLI per specificare il bucket, l'argomento e il ruolo per. AWS ConfigPer impostare i prerequisiti per AWS Config, consulta Prerequisiti.

Per iniziare AWS CLI, utilizzate AWS Config i comandi put-configuration-recorder, put-delivery-channel e start-configuration-recorder, come segue:

  • Il comando put-configuration-recorder crea un nuovo registratore di configurazione per registrare le configurazioni delle risorse specificate.

  • Il comando put-delivery-channel crea un oggetto del canale di distribuzione per distribuire le informazioni di configurazione a un bucket S3 e a un argomento SNS.

  • Dopo aver creato un canale di distribuzione, start-configuration-recorder inizia a registrare le configurazioni delle risorse selezionate, che puoi vedere nell'account AWS .

Nota

Può essere presente un solo registratore di configurazione e un solo canale di distribuzione per ciascuna regione AWS dell'account.

Puoi specificare il nome del registratore e l'Amazon Resource Name (ARN) del ruolo IAM assunto e utilizzato AWS Config dal registratore di configurazione. AWS Config assegna automaticamente il nome «default» durante la creazione del registratore di configurazione. Non puoi modificare il nome del registratore di configurazione una volta creato. Per modificare il nome del registratore della configurazione, devi eliminarlo e creare un nuovo registratore della configurazione con un nuovo nome.

AWS Config Per configurare l'aggregazione di dati multiregione con più account con AWS CLI, consulta Configurazione di un aggregatore tramite l'interfaccia a riga di comando. AWS È necessario creare un registratore di configurazione separato per ogni regione in Account AWS cui si desidera registrare gli elementi di configurazione.

put-configuration-recorder

Il comando put-configuration-recorder deve assomigliare a quello riportato nell'esempio seguente.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

Questo comando utilizza i ---recording-group campi --configuration-recorder and.

Nota

Gruppo di registrazione e registratore di configurazione

Il campo --recording-group specifica quali tipi di risorse vengono registrati.

Il --configuration-recorder campo specifica name e la frequenza roleArn di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

put-configuration-recorder usa le seguenti opzioni per il parametro --recording-group:

  • allSupported=true— AWS Config registra le modifiche alla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di risorse IAM globali. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa, avvia AWS Config automaticamente la registrazione delle risorse di quel tipo.

  • includeGlobalResourceTypes=true: questa opzione è un bundle che si applica solo ai tipi di risorse IAM registrati a livello globale: utenti IAM, gruppi, ruoli e policy gestite dal cliente. Questi tipi di risorse IAM globali possono essere registrati solo AWS Config nelle regioni in cui AWS Config erano disponibili prima di febbraio 2022. Non è possibile registrare i tipi di risorse IAM globali nelle regioni supportate AWS Config entro febbraio 2022. Per un elenco di tali regioni, consulta Risorse di registrazione | AWS Risorse globali.

    Importante

    I cluster globali Aurora sono registrati in tutte le regioni abilitate

    Il tipo di AWS::RDS::GlobalCluster risorsa verrà registrato in tutte le AWS Config regioni supportate in cui il registratore di configurazione è abilitato, anche se includeGlobalResourceTypes è impostato false su. L'opzione includeGlobalResourceTypes è un pacchetto applicabile solo agli utenti IAM, ai gruppi, ai ruoli e alle policy gestite dal cliente.

    Se non desideri registrare AWS::RDS::GlobalCluster in tutte le regioni abilitate, utilizza una delle seguenti strategie di registrazione:

    1. Registra tutti i tipi di risorse attuali e futuri con esclusioni (EXCLUSION_BY_RESOURCE_TYPES) oppure

    2. Registra tipi di risorsa specifici (INCLUSION_BY_RESOURCE_TYPES).

    Per ulteriori informazioni, consulta Scegli quali risorse devono essere registrate.

    Importante

    strategia di GlobalResourceTypes registrazione di inclusione ed esclusione

    Il includeGlobalResourceTypes campo non ha alcun impatto sulla strategia EXCLUSION_BY_RESOURCE_TYPES di registrazione. Ciò significa che i tipi di risorse IAM globali (utenti IAM, gruppi, ruoli e policy gestite dai clienti) non verranno aggiunti automaticamente come esclusioni per exclusionByResourceTypes quando includeGlobalResourceTypes è impostato su. false

    Il includeGlobalResourceTypes campo deve essere utilizzato solo per modificare il AllSupported campo, poiché l'impostazione predefinita per il AllSupported campo consiste nel registrare le modifiche alla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di risorse IAM globali. Per includere i tipi di risorse IAM globali quando AllSupported è impostato sutrue, assicurati di includeGlobalResourceTypes impostarlo sutrue.

    Per escludere i tipi di risorse IAM globali per la strategia di EXCLUSION_BY_RESOURCE_TYPES registrazione, devi aggiungerli manualmente al resourceTypes campo diexclusionByResourceTypes.

    Nota

    Campi obbligatori e facoltativi

    Prima di impostare includeGlobalResourceTypes su true, imposta il campo allSupported su true.

    Facoltativamente, puoi anche impostare il campo useOnly di RecordingStrategy su ALL_SUPPORTED_RESOURCE_TYPES.

    Nota

    Sostituzione dei campi

    Se includeGlobalResourceTypes imposti su false ma elenchi i tipi di risorse IAM globali nel resourceTypes campo di RecordingGroup, AWS Config registrerà comunque le modifiche alla configurazione per quei tipi di risorse specificati indipendentemente dal fatto che il includeGlobalResourceTypes campo sia impostato su false.

    Se non desideri registrare le modifiche alla configurazione dei tipi di risorse IAM registrati a livello globale (policy gestite dal cliente o da gruppi, ruoli e utenti IAM), assicurati di non elencarli nel campo resourceTypes e di impostare il campo includeGlobalResourceTypes su false.

  • recordingStrategy: specifica la strategia di registrazione per il registratore di configurazione. Il file recordingGroup.json specifica quali tipi di risorse saranno registrate da AWS Config :

    • Se imposti il useOnly campo suALL_SUPPORTED_RESOURCE_TYPES, AWS Config registra le modifiche RecordingStrategyalla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di risorse IAM globali. Facoltativamente, puoi impostare il allSupported campo RecordingGroupsutrue. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa, avvia AWS Config automaticamente la registrazione delle risorse di quel tipo.

    • Se si imposta il useOnly campo suINCLUSION_BY_RESOURCE_TYPES, AWS Config registra le modifiche RecordingStrategyalla configurazione solo per i tipi di risorse specificati nel resourceTypes campo di RecordingGroup.

    • Se si imposta il useOnly campo suEXCLUSION_BY_RESOURCE_TYPES, AWS Config registra le modifiche RecordingStrategyalla configurazione per tutti i tipi di risorse supportati ad eccezione dei tipi di risorse che si specifica di escludere dalla registrazione nel resourceTypes campo di ExclusionByResourceTypes.

    Nota

    Campi obbligatori e facoltativi

    Il campo recordingStrategy è facoltativo se imposti il campo allSupported di --recording-group su true.

    Il campo recordingStrategy è facoltativo se elenchi i tipi di risorse nel campo resourceTypes di --recording-group.

    Il campo recordingStrategy è obbligatorio se elenchi i tipi di risorse da escludere dalla registrazione nel campo resourceTypes di exclusionByResourceTypes.

    Nota

    Sostituzione dei campi

    Se scegli EXCLUSION_BY_RESOURCE_TYPES come strategia di registrazione, il campo exclusionByResourceTypes sovrascrive le altre proprietà della richiesta.

    Ad esempio, anche se hai impostato includeGlobalResourceTypes su false, i tipi di risorse IAM registrati a livello globale verranno comunque registrati automaticamente in questa opzione, a meno che tali tipi di risorse non siano specificamente elencati come esenzioni nel campo resourceTypes di exclusionByResourceTypes.

    Nota

    Tipi di risorse globali e strategia di registrazione di esclusione delle risorse

    Per impostazione predefinita, se si sceglie la strategia di EXCLUSION_BY_RESOURCE_TYPES registrazione, When AWS Config aggiunge il supporto per un nuovo tipo di risorsa nella regione in cui è impostato il registratore di configurazione, inclusi i tipi di risorse globali, AWS Config avvia automaticamente la registrazione delle risorse di quel tipo.

    A meno che non siano specificatamente elencate come esclusioni, AWS::RDS::GlobalCluster verranno registrate automaticamente in tutte le AWS Config regioni supportate in cui il registratore di configurazione è abilitato.

    Gli utenti, i gruppi, i ruoli e le politiche gestite dai clienti di IAM verranno registrati nella regione in cui è stato configurato il registratore di configurazione, se questa è una regione in cui AWS Config era disponibile prima di febbraio 2022. Non puoi registrare i tipi di risorse IAM globali nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta Risorse di registrazione | AWS Risorse globali.

    Di seguito è riportata la sintassi della richiesta per recordingGroup.json.

    { 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}
    Nota

    Politiche di autorizzazione per AWS Organizations Can Prevent Access

    Se utilizzi un ruolo IAM preesistente, assicurati che non esista una politica di autorizzazione AWS Organizations che AWS Config impedisca di avere il permesso di registrare le tue risorse. Per ulteriori informazioni sulle politiche di autorizzazione per AWS Organizations, consulta la sezione Gestione delle politiche AWS Organizations nella Guida per l'AWS Organizations utente.

    Mantieni le autorizzazioni minime quando riutilizzi un ruolo IAM

    Se utilizzi un AWS servizio che utilizza AWS Config, come AWS Security Hub o AWS Control Tower, e un ruolo IAM è già stato creato, assicurati che il ruolo IAM che usi durante la configurazione AWS Config mantenga le stesse autorizzazioni minime del ruolo IAM preesistente. È necessario eseguire questa operazione per garantire che l'altro AWS servizio continui a funzionare come previsto.

    Ad esempio, se AWS Control Tower dispone di un ruolo IAM che AWS Config consente di leggere oggetti S3, assicurati che vengano concesse le stesse autorizzazioni al ruolo IAM che utilizzi durante la configurazione. AWS Config Altrimenti, potrebbe interferire con il funzionamento AWS Control Tower .

    Nota

    Numero elevato di AWS Config valutazioni

    Potresti notare una maggiore attività nel tuo account durante la registrazione del mese iniziale con AWS Config rispetto ai mesi successivi. Durante il processo di avvio iniziale, AWS Config esegue valutazioni su tutte le risorse dell'account che hai selezionato per la AWS Config registrazione.

    Se esegui carichi di lavoro temporanei, potresti riscontrare un aumento dell'attività dovuto alla registrazione delle modifiche alla configurazione associate alla creazione e all'eliminazione di queste risorse temporanee. AWS Config Un carico di lavoro temporaneo è un uso temporaneo di risorse di elaborazione che vengono caricate ed eseguite quando necessario. Gli esempi includono istanze Spot Amazon Elastic Compute Cloud (Amazon EC2), lavori Amazon EMR e. AWS Auto Scaling Se vuoi evitare l'aumento dell'attività dovuto all'esecuzione di carichi di lavoro temporanei, puoi configurare il registratore di configurazione per escludere questi tipi di risorse dalla registrazione o eseguire questi tipi di carichi di lavoro in un account separato con AWS Config disattivato per evitare un aumento della registrazione della configurazione e delle valutazioni delle regole.

    Nota

    Disponibilità nelle regioni

    Prima di specificare un tipo di risorsa da AWS Config monitorare, controllate la disponibilità della copertura delle risorse per regione per verificare se il tipo di risorsa è supportato nella regione in cui state effettuando la AWS configurazione. AWS Config Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate da AWS Config, anche se il tipo di risorsa specificato non è supportato nella AWS regione in cui stai effettuando la configurazione AWS Config.

put-configuration-recorder usa i seguenti campi per il parametro --configuration-recorder:

  • name— Il nome del registratore di configurazione. AWS Config assegna automaticamente il nome di «default» durante la creazione del registratore di configurazione.

  • roleARN— Amazon Resource Name (ARN) del ruolo IAM assunto AWS Config e utilizzato dal registratore di configurazione.

  • recordingMode— Speciifica la frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione. AWS Config supporta la registrazione continua e la registrazione giornaliera. La registrazione continua consente di registrare continuamente le modifiche alla configurazione ogni volta che si verifica una modifica. La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza.

    • recordingFrequency— La frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione.

      Nota

      AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.

    • recordingModeOverrides: questo campo consente di specificare le sostituzioni per la modalità di registrazione. Si tratta di un array di oggetti recordingModeOverride. Ogni oggetto recordingModeOverride dell’array recordingModeOverrides è composto da tre campi:

      • description— Una descrizione fornita per l'override.

      • recordingFrequency— La frequenza di registrazione che verrà applicata a tutti i tipi di risorse specificati nell'override.

      • resourceTypes— Un elenco separato da virgole che specifica quali tipi di risorse sono AWS Config inclusi nell'override.

Nota

Campi obbligatori e facoltativi

Il campo recordingMode per put-configuration-recorder è facoltativo. Per impostazione predefinita, la frequenza di registrazione per il registratore di configurazione è impostata su Registrazione continua.

Nota

Limiti

La registrazione giornaliera non è supportata per i tipi di risorse seguenti:

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

Per la strategia di registrazione Registra tutti i tipi di risorse supportati attuali e futuri (ALL_SUPPORTED_RESOURCE_TYPES), questi tipi di risorse saranno impostati su Registrazione continua.

Il configurationRecorder.json file specifica name e roleArn la frequenza di registrazione predefinita per il registratore di configurazione (). recordingMode È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

put-delivery-channel

I seguenti esempi di codice mostrano come utilizzare. PutDeliveryChannel

CLI
AWS CLI

Per creare un canale di distribuzione

Il comando seguente fornisce le impostazioni per il canale di consegna come codice JSON:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Il deliveryChannel.json file specifica gli attributi del canale di consegna:

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

L'esempio seguente imposta i seguenti attributi:

name- Il nome del canale di consegna. Per impostazione predefinita, AWS Config assegna il nome default a un nuovo canale di consegna. Non è possibile aggiornare il nome del canale di consegna con il comando. put-delivery-channel Per i passaggi per modificare il nome, vedi Ridenominazione del canale di consegna. s3BucketName - Il nome del bucket Amazon S3 a cui AWS Config fornisce istantanee di configurazione e file di cronologia della configurazione. Se si specifica un bucket che appartiene a un altro AWS account, tale bucket deve disporre di politiche che concedano le autorizzazioni di accesso a Config. AWS Per ulteriori informazioni, consulta Autorizzazioni per il bucket Amazon S3.

snsTopicARN- L'Amazon Resource Name (ARN) dell'argomento Amazon SNS a cui AWS Config invia notifiche sulle modifiche alla configurazione. Se scegli un argomento da un altro account, l'argomento deve avere politiche che concedano le autorizzazioni di accesso a Config. AWS Per ulteriori informazioni, consulta l'argomento Autorizzazioni per l'argomento Amazon SNS.

configSnapshotDeliveryProperties- Contiene l'deliveryFrequencyattributo, che imposta la frequenza con cui AWS Config fornisce istantanee di configurazione e la frequenza con cui richiama le valutazioni per le regole Config periodiche.

Se il comando ha esito positivo, AWS Config non restituisce alcun output. Per verificare le impostazioni del tuo canale di consegna, esegui il describe-delivery-channels comando.

PowerShell
Strumenti per PowerShell

Esempio 1: questo esempio modifica la proprietà DeliveryFrequency di un canale di consegna esistente.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

  • Per i dettagli sull'API, vedere PutDeliveryChannel in AWS Tools for PowerShell Cmdlet Reference.

start-configuration-recorder

Per terminare l'accensione AWS Config, utilizzare il start-configuration-recordercomando.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName